使用Ethereal分析数据包.pptVIP

第三章 使用Ethereal分析数据包 使用Ethereal可以帮助理解计算机网络体系结构的实质，是信息类专业计算机网络必备实验 该实验贯穿整个TCP/IP协议层次，可以详细分析数据链路层、网络层、传输层和应用层的数据 抓包工具种类 Ethereal Sniffer Tcpdump(linux系统自带) Ethereal工具的构成与安装 Winpcap.exe是Win32平台上进行包捕获和网络协议分析的开源库，含有很重要的包过滤动态链接库(packet.dll库)和wpcap.dll库，这两个动态链接库都提供有抓包工具必需的应用编程接口API。 在安装Ethereal之前，必须要先安装WinPcap，否则抓包无法完成。值得一提的是，0.10.14版本的Ethereal工具已经把WinPcap工具固化在Ethereal的安装程序中，只需要按照提示步骤默认安装即可。 安装 选择抓取数据包的网卡 示例 (1) NPF拨号适配器； (2) Intel PRO 1000MT网卡； (3) VMware虚拟机适配器1； (4) Intel PRO无线网卡； (5) VMware虚拟机适配器2。 说明 一般PC都带有NPF拨号适配器(很少使用)和某一种有线网卡接口(网卡型号可能有不同)。因为在该PC中安装有虚拟机VMware，VMware会显示出两个虚拟机网卡接口选项，如果没有虚拟机，就无此接口选项。如果某PC(主要是笔记本计算机)装有无线网卡，就会有无线网卡接口选项。读者选择哪个网卡接口进行抓包，是选择无线网卡还是选择有线网卡，可以根据自己PC的具体情况来定。作者的笔记本电脑安装有Intel PRO 1000MT网卡，所有数据包都是依靠该网卡来捕获的。 抓包后显示 Ethereal的窗口由三部分构成 从上到下分别是 (1) 各个协议的数据包列表； (2) 某一具体协议的各个层次的数据分析； (3) 帧的十六进制具体数据展示。 说明 可以看到，最上面的窗口为数据包的列表，显示的是捕获到的每个数据包的大概信息； 中间的窗口是选定的某个数据包的层次结构和协议分析； 最下面的窗口是数据包的16进制数据的具体内容，也就是数据包在物理层上传递的数据。 抓数据包 捕获数据包的时间长短要根据具体情况而定。比如，要分析HTTP协议的数据结构，只需要捕获一条HTTP数据即可；而要观察浏览器浏览服务器端网站内容的详细过程，就需要详细地捕获从开始到结束的整个过程。 以网站首页数据量较少的为例，假如要详细显示客户端和首页数据的详细交互过程，就需要不停地捕获数据包直到数据彻底传递完毕。 分析数据包 No.列标识出Ethereal捕获的数据包的序号， Time表明在什么时间捕获到该数据包， Source和Destination标识出数据包的源端和目的端， Protocol表明该数据包使用的协议(以该数据包最上层协议名命名)， Info是在列表中大概列出该数据包的信息。 数据包具体网络协议实例分析 数据链路层帧 网络层协议IP 传输层协议TCP/IP 应用层协议 数据链路层数据传递两种方式 点对点信道 广播信道 PPP帧首部结构 Ethernet帧首部结构 某个Ethernet帧的十六进制数据显示 说明 当单击选择第26号帧(frame)时，打开下方的注释，显示出该帧的概要信息：帧的到达时间，帧的长度有72字节，整个帧内部各个层次所用到的协议(分别是Eth, IP, UDP和DNS)。 Ethernet帧的首部 以太网帧首部一共14个字节，6个字节的目的地址00 11 5d ac e8 00(Cisco_ac:e8:00思科网卡标识符)，表明使用的是Cisco公司的设备，6个字节源地址00 16 17 ab 1e 48，也就是本主机的网卡地址，2个字节类型字段0800，表明里面的数据是IP数据报。 IP数据报首部的结构 IP数据报首部 分析 这个IP数据报的首部有20字节长，详细的数据分析如下： Version：版本4，目前使用的是IPV4。 Header length：首部长度20字节(5个单位，每个单位4字节)。 Differentiated Services Field：区分服务00(简称为DS，默认值是00，路由器根据DS字段不同的值来提供不同等级的服务质量，其中，前6位是区分服务码点DSCP，后面两位目前不使用，记为CU)。 Total Length：1500字节。 Identification：标识a6be(42686)。 Flags：标志，占3比特位，分别是010。第一位是保留位，目前不使用，值为0；第二位记为DF，值为1表示不能分片，值为0表示允许分片；第三位记为MF，值为1表示后面还有分片的数据报，值为0表示这已是若干数